セキュリティ企業のネットエージェントは2013年12月26日、中国百度(バイドゥ)の日本法人が提供するパソコン用日本語入力ソフト「Baidu IME」とAndroid用入力ソフトの「Simeji」が、初期設定状態で入力文字を百度のサーバーに送信していたとの調査結果を明らかにした。

 ネットエージェントのブログによれば、Baidu IME、Simejiとも、変換済みの全角文字をSSLで暗号化し、サーバーに送信しているのが確認できたという。パスワードなどに使われる半角英数字など、変換を経ていない文字は送信の対象外。変換処理をクラウド上で行う機能をOFF、ログ情報送信の設定をOFFにしていても、文字列を送信していた。

 これに加え、IMEの機能と関連性の薄い内部情報の送信も確認できたという。Baidu IMEの場合は、IMEの文字入力機能を使っているアプリケーションのパス名、Windowsのログインユーザーを識別できるセキュリティ識別子(SID)を送信していた。Simejiの場合は、端末を識別するUUID、Android端末の機種名、文字入力を使っているアプリケーションのパッケージ名が送信対象だった。

ネットエージェントのブログ